Anche questo mese ci soffermiamo ad analizzare gli aggiornamenti di sicurezza che Microsoft ha rilasciato per i suoi software. Il “patch day” di ottobre è piuttosto “corposo”: il colosso di Redmond ha infatti pubblicato otto bollettini: ciascuno di essi consente di sanare vulnerabilità scoperte in Windows, Internet Explorer, Office, .NET Framework ed in alcuni strumenti destinati agli sviluppatori.
Gli aggiornamenti che i tecnici Microsoft giudicano più critici sono tre: MS14-056, MS14-057 e MS14-058.
Il primo consente di risolvere ben quattordici vulnerabilità in tutte le versioni di Internet Explorer (dalla 6.0 alla 11): la lacuna di sicurezza più grave può consentire ad un malintenzionato di eseguire codice arbitrario sul sistema della vittima semplicemente persuadendo l’utente a visitare una pagina web dannosa.
Nell’articolo Perché installare gli aggiornamenti di Internet Explorer? abbiamo spiegato il motivo per cui è importante installare gli aggiornamenti per Internet Explorer anche qualora si utilizzassero browser web differenti (ad esempio Firefox, Chrome, Safari, Opera e così via).
La patch MS14-057 è forse ancor più critica, soprattutto in ambito server, allorquando si utilizzassero applicazioni .NET. Un aggressore potrebbe essere infatti in grado di eseguire codice dannoso inviando un indirizzo contenente caratteri non standard ad un’applicazione web .NET. La funzionalità vulnerabile è disattivata per impostazione predefinita in .NET Framework 4.0 e versioni precedenti mentre risulta sempre abilitata nel .NET Framework 4.5.
L’aggiornamento successivo, MS14-058, consente di sanare una vulnerabilità individuata in tutte le versioni di Windows che potrebbe essere sfruttata per eseguire codice dannoso invitando l’utente ad aprire un documento oppure a visitare una pagina web contenente particolari fonti di carattere TrueType.
Tra i restanti aggiornamenti, una menzione speciale merita MS14-060.
La lacuna risolvibile mediante l’installazione di questo aggiornamento, infatti, sarebbe stata utilizzata da un gruppo di criminali informatici russi per spiare le attività della NATO e di agenzie governative polacche ed ucraine.
In questo caso l’esecuzione di codice nocivo si può verificare nel momento in cui un aggressore riuscisse a convincere l’utente ad aprire un documento Office contenente oggetti OLE appositamente modificati “ad arte”.
Gi altri aggiornamenti consentono di risolvere una vulnerabilità in ASP.NET MVC (MS14-059), in Microsoft Word così come nelle applicazioni Web di Office (MS14-061) e nel driver di sistema FASTFAT che, interagendo in maniera scorretta con le partizioni formattate con il file system FAT32, può consentire di eseguire attività con privilegi utente più elevati (MS14-062).
Il prossimo appuntamento con il “patch day” Microsoft è fissato per martedì 11 novembre.